Sicurezza dei sistemi (2014/2015)

Codice insegnamento
4S02799
Docente
Isabella Mastroeni
Coordinatore
Isabella Mastroeni
crediti
6
Settore disciplinare
ING-INF/05 - SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Lingua di erogazione
Italiano
Periodo
I sem. dal 1-ott-2014 al 30-gen-2015.

Orario lezioni

I sem.
Giorno Ora Tipo Luogo Note
lunedì 9.30 - 11.30 lezione Aula I  
martedì 14.30 - 16.30 lezione Aula I  

Obiettivi formativi

Il corso di sicurezza dei sistemi ha come obiettivi quelli di fornire agli studenti le conoscenze di base che permettano di specificare e analizzare politiche di sicurezza in funzione delle caratteristiche del sistema da proteggere e delle informazioni che si vogliono proteggere.
In particolare, oltre ad una panoramica dei concetti fondamentali, il corso si focalizzerà sulla sicurezza dei sistemi operativi, con particolare attenzione ai problemi di autenticazione e autorizzazione, del software, allo studio delle vulnerabilità del software in presenza di malware, e delle basi di dati.
Verranno infine trattati gli aspetti di gestione della sicurezza e aspetti legali, importanti nella fase di progettazione di un meccanismo di sicurezza.

Programma

Il corso svilupperà i seguenti argomenti:
1) Introduzione alla sicurezza dei sistemi informatici:
- Concetto di sicurezza, obiettivi della sicurezza intesi come confidenzialità, integrità e disponibilità
- Vulnerabilità (hardware, software, dei dati e delle comunicazioni)
- Analisi dei rischi e delle minacce
- Metodi di difesa
- Principi della sicurezza informatica
2) Modelli classici
- Politiche e modelli
- Politiche: confidenzialità vs integrità, militari vs commerciali
- Controllo degli accessi (Autenticazione vs Autorizzazione)
- Modelli DAC (modello Harrison-Ruzzo-Ullmann, modello Graham-Denning, sistemi take-grant)
- Sicurezza multilivello (MAC)
- Modelli classici (Bell-LaPadula, Biba, Clark-Wilson, Chinese Wall)
- RBAC
- Non interferenza
3) Meccanismi standard
- Autenticazione
- Autenticazione vs Identificazione
- Autenticazione (mediante password, basata su token, biometrica)
- Attacchi e protezione
- Meccanismi per il controllo degli accessi
- Intrusion detection systems
- Execution monitors
4) Sicurezza delle Basi di Dati
- Sicurezza nelle basi di dati relazionali
- Controllo degli accessi e SQL
- Sicurezza nelle basi di dati statistiche (Aggregazione, inferenza e tipi di attacchi)
- Sicurezza nelle basi di dati multilivello
- Sicurezza e Data mining
5) Software
- Vulnerabilità del software
- Gestione dell'input: errori vs attacchi
- Gestione della memoria: Buffer overflow
- Altri tipi di attacco al software
- Malware (definizioni e modelli)
- Panoramica sui tipi di malware
- Virus (Definizioni, metodi di propagazione, metodi di difesa)
- Worm
- Backdoor (dette anche trapdoor), Cavalli di Troia e altri tipi di malware
- Modelli
- Difese
6) Aspetti legali della sicurezza
- Privacy e informatica
- Crimini e Accessi abusivi
- Aspetti etici
7) Amministrazione della sicurezza
- Minacce fisiche alla sicurezza
- Pianificazione e fattore umano
- Aspetti economici della sicurezza

Modalità d'esame

L'esame sarà strutturato in due parti e può essere espletato in due modi:
- Scritto + Progetto
- Scritto + Orale (opzionale)
In particolare:
Scritto: Insieme domande e semplici esercizi si valuterà la preparazione dello studente sull'intero programma del corso. La valutazione verrà data in due modi per dare allo studente la possibilità di scegliere come completare l'esame. Tale valutazione sarà espressa sia in 30esimi (in tal caso si è ammessi alla registrazione/orale se la valutazione è maggiore o uguale a 18/30) che come bonus da 0 a 4 (in tal caso si è ammessi a sostenere il progetto se la valutazione è maggiore o uguale a 1)
- Progetto/approfondimento fatto da gruppi di massimo due persone il cui argomento può essere anche proposto al docente da parte del gruppo stesso. Tale progetto sarà presentato sottoforma di una relazione scritta e di una presentazione orale.
Il risultato dell'esame sarà poi ottenuto dando una valutazione in 30esimi (rapportato poi a 24 + 2 punti per la presentazione) al progetto;
- Orale: Esame sull'intero programma del corso. In caso di voto superiore al 26/30 allo scritto l'orale diventa obbligatorio per poter anche solo confermare il voto, altrimenti si può registrare massimo un 26.

Sintetizzando:
- Voto scritto su 4 minore di 1: Ripetere lo scritto;
- Voto scritto su 4 tra 1 e 2,4 (inferiore a 18/30): Fare progetto OPPURE ripetere lo scritto;
- Voto scritto su 4 tra 2,4 e 3,4 (tra 18/30 e 26/30): Fare progetto (in tal caso vale il voto su 4) OPPURE registrare OPPURE fare orale (in questi casi vale il voto in 30esimi)
- Voto scritto maggiore di 3,4 (maggiore di 26/30): Fare progetto (in tal caso vale il voto su 4) OPPURE fare orale OPPURE registrare 26/30.

Statistiche per i requisiti di trasparenza (Attuazione Art. 2 del D.M. 31/10/2007, n. 544)

Statistiche esiti
Esiti Esami Esiti Percentuali Media voti Deviazione Standard
Positivi 44.61% 27 4
Respinti 10.76%
Assenti 7.69%
Ritirati 36.92%
Annullati --
Distribuzione degli esiti positivi
18 19 20 21 22 23 24 25 26 27 28 29 30 30 e Lode
10.3% 0.0% 3.4% 0.0% 6.8% 0.0% 0.0% 6.8% 6.8% 0.0% 13.7% 6.8% 27.5% 17.2%

Valori relativi all'AA 2014/2015 calcolati su un totale di 65 iscritti. I valori in percentuale sono arrotondati al numero intero più vicino.